Alexey Hog

Вопрос хороший, но здесь мы упираемся в главную беду пхп - ВСЕ учебники в интернете, и особенно видео - показывают как писать адов говнокод из прошлого века.

1. Получение значения из адресной строки

Чтобы получить значение переменной, которую передали в строке запроса (это то что после знака вопроса), надо обратиться к переменной $_GET

То есть в данном случае можно написать $id = $_GET['id']. Имя получаемой переменной ($id) может быть любым и не обязательно совпадать с переданным значением. А вот в индекс массива $_GET разумеется надо писать именно то имя, которое в адресной строке. То есть если site.com/?id=1 то в $_GET['id'] будет значение 1.

2. Валидация данных

Далее очень желательно проверить, что мы в переменной получили то что хотели, а так же что мы вообще хоть что-то получили.

Сначала надо проверить наличие в массиве $_GET нужного ключа. В данном случае это можно сделать с помощью оператора isset() (хотя вообще она для проверки наличия ключей в массивах не рекомендуется)
Если для показа информации используем отдельную, специальную страницу, которая только занимается показом данных по айди, то после проверки на существование надо выдать ошибку.

Затем, поскольку id может быть только целым числом больше нуля, то лучше проверить и это тоже и тоже выдать ошибку.

3. Соединение с БД.

в "config.php" должно быть написано не то что там сейчас а вот это (со своими параметрами подключения разумеется)

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$link = mysqli_connect($host, $user, $pass, $db_name);
$link->set_charset("utf8mb4");

4. SQL

Запрос, который нам нужен, выглядит так:
SELECT * FROM `product` WHERE id=1

5. Выполнение запроса в РНР

Но разумеется вместо 1 надо подставить значение переменной.
Это самое сложное. Но надо один раз выучить и потом везде применять

Важно, чтобы данные в БД всегда попадали отдельно от самого запроса. Это непреложное правило, которое надо соблюдать всегда.
Для этого надо

1. Заменить все переменные в запросе на специальные маркеры, которые называются плейсхолдеры или параметры, а по сути - просто знаки вопроса
   
2. Подготовить запрос к исполнению с помощью функции prepare(). Эта функция принимает строку запроса и возвращает экземпляр специального класса stmt, с которым в дальнейшем и производятся все манипуляции
   
3. Привязать переменные к запросу.
   
4. Выполнить подготовленный ранее запрос с помощью с помощью execute()
   
5. Получить результат запроса через get_result()
   
6. и дальше конкретную строку из БД с помощью уже знакомой fetch_assoc
   
   

В коде это будет так

$sql = "SELECT * FROM `product` WHERE id=?";
$stmt = $link->prepare($sql);
$stmt->bind_param("s", $id);
$stmt->execute();
$result = $stmt->get_result();
$row = $result->fetch_assoc();

bind_param() принимает в качестве параметров все переменные, которые должны попасть в запрос, в том же самом порядке, в котором стоят плейсхолдеры в запросе. Но кроме того, сначала в этой функции должны быть указаны типы для всех переменных, в виде строки, где тип переменной обозначается одной буквой. То есть букв в этой строке должно быть ровно столько, сколько дальше будет переменных. К счастью, можно особо не париться с типами и для всех переменных указывать тип "s".

6. Вывод данных.

Важно понимать, что в момент вывода данных никакой работы с БД уже быть не должно!
Должны быть только переменные РНР с уже полученными данными.

Взламывают точно так же как и мелкие.
В статье описана обычная SQL инъекция, когда данные подставляются прямо в SQL запрос.

Я просто сомневаюсь, что valve может нанять таких людей в backend

Не надо сомневаться.
Нету никаких "особенных способов взлома".
А есть такое явление как "эффективные менеджеры". У которых размер премии зависит от того, сколько денег они сэкономили акционерам.

Если бы там были подготовленные выражения, то и взлома бы не было.
Но вместо подготовленных выражений в больших компаниях есть эффективные менеджеры. Которые экономят на нормальных программистах, и заказывают разработку в Индии, в штате Бангалор. Где живет какой-нибудь Хамишь Кумар, который родился в касте вычерпывателей говна из сортиров. И вот у него только один шанс не черпать говно всю жизнь - всеми правдами и неправдами научиться программировать, путь даже за еду. Сравниваем с силиконовым программером с запросами $250k в месяц. Экономия налицо!

На всякий случай напомню, для стопроцентной защиты от инъекций необходимо всегда следовать двум простым правилам:

1. данные подставляем в запрос только через плейсхолдеры
   
2. идентификаторы и ключевые слова подставляем только из белого списка, прописанного в нашем коде.
   

Ключевое слово здесь - "всегда". Как только начинаются рассуждения вида "ну эти данные и так безопасные, их защищать не надо", то в этот момент мы добавляем инъекцию к себе на сайт. Следует понимать, что защищаем мы не данные, а запрос. Данные нас вообще не интересуют - какие они, откуда пришли, являются "безопасными" или нет. Важно не то откуда они пришли, а то, куда они идут. В SQL запрос? Используем подготовленные выражения, точка.

Из data-атрибута получать номер квартиры. По нему выбирать и path и элемент списка:

Подробнее.
Интересуют события, когда мышка наезжает на path или на элемент списка, и когда уезжает.

И у path и у элементов списка у каждого в дата-атрибуте data-flat записан номер квартиры.
Когда происходит событие, надо:

1. получить из data-атрибута номер квартиры
   
2. переключить класс active (включить или выключить его, в зависимости от типа события
   

Зная номер квартиры, можно выбрать элементы, у которых атрибут data-flat совпадает с этим номером. Для этого используется селектор [data-flat="42"]

Не надо никаких регулярных выражений:

str.split('=').pop()
// или
str.slice(str.indexOf('=') + 1)

Но, конечно, можно и регулярками:

str.replace(/[^=]*=/, '')
// или
str.match(/(?<==).*/)[0]
// или
/[^=]*$/.exec(str).shift()

А вообще, учитывая, чем является эта строка, и что вы хотите из неё получить:

new URLSearchParams(str).get('sort')

^(?=.*\d).{1,10}$

Пробовал input в label положить вообще не помогает

помогает

Второй вариант – то, что надо. Остаётся получить случайное от 0 до 4 (с равномерным распределением) и взять соотв. имя. У Ивана шансов как раз 3/5.

Upd.

function getRandomWinner($ppl)
{
  $choice = rand(0, array_sum(array_values($ppl)) - 1);

  $sum = 0;
  foreach($ppl as $name => $rank) {
    $sum += $rank;
    if ($choice < $sum) return $name;
  }
}

$winnerName = getRandomWinner([
  'Иван' => 60,
  'Максим' => 20,
  'Вова' => 20,
]);

можно-ли как-то настроить проксирование на второй порт, пробовал добавить второй локейшн, но это не работает.

Можно, именно так это и работает - в разных серверных блоках/локейшенах указываете разные proxy_pass`ы. Пробуйте ещё.

Ну короче типа внатуре getElementsByClassName возвращает как бы коллекцию элементов, а у коллекции, мамой клянусь, свойства childNodes нет.

По секрету, братиш, вот: document.querySelector('.case-print')

Ну там ещё дальше click работать не будет, но это уж самостоятельно в виде домашнего задания.

У вас вполне хороший код. Можно чуть изменить, полагаясь на то, что именно второй массив короче первого:

$result = [];
$limit = count($arr2);
foreach ($arr1 as $index => $item) {
    $result[] = $item . $arr2[$index % $limit];
}

Или короче, хуже, менее читаемо:

Последняя цифра - это остаток при делении на 10.
const lastDigit = 765 % 10; // -> 5